Window 2008 R2组策略之一——组策略管理控制台

      组策略管理在windows域管理中占有重要地位，自己也不是新的内容了。但微软在Windows2008中终于集成了一个很是好用的组策略管理工具——组策略管理控制台。而且为原有的组策略添加了新的元素。本文从介绍组策略管理控制台入手，力求经过比较通俗的语言，为组策略新手开启一扇进入Windows域高级管理的大门。因为本人水平所限，若有不妥之处，请方家不吝赐教。

     在08之前的Windows Server中要想配置组策略， 是件麻烦事。后来微软推出了一个小工具——gpmc，才解决了问题，但这个工具须要下载和安装，许多人不知道有这个工具的存在。在Windows 2008中，微软将它集成了进来，大大方便了管理员对于组策略的管理和配置。首先，让咱们看看它的庐山真面目吧！点击“开始”，导航到“管理工具”，选择“Group Policy Management”命令，打开组策略管理控制台。（见图一）

图一

      正如各位所见，在此管理控制台的根节点，是一个叫作“beijing.cn”的森林根节点。展开后，可见以下几个主要节点：域，默认状况下是与森林同名的域；组策略对象（Group Policy Objects——GPO），是存放全部组策略的节点，包括用户建立的和默认域策略以及默认域控制器策略；Starter GPOS（初级使用者GPO），它衍生自一个GPO，而且具备将一组管理模板策略集成在一个对象中的能力（Starter Group Policy objects derive from a Group Policy object (GPO), and provide the ability to store a collection of Administrative Template policy settings in a single object.摘自：帮助文件）。这是Windows 2008中新增的功能，你能够把它理解为事先定制好的、针对不一样使用环境的模板，对于不熟悉组策略配置的用户只要拿过来用就行了。这会大大简化简单环境中组策略的配置，以及复杂环境组策略的部署，是一个很是实用的功能。再有就是“站点”节点和“组策略结果集”，我会在后续文章中详细介绍。

图二

      万事皆是由简入繁，让咱们从建立第一个GPO开始创建对于组策略的初步认识吧。

    导航到beijing.cn的域节点上点击右键，在弹出的右键菜单中选择“新建组织单位”，如图三所示。不是在讨论组策略吗？怎么又建立组织单位了呢？这里有个概念，须要牢记：GPO只能连接到容器上，因此咱们首先要建立一个用于实验的OU——market。

图三

 

  图四

     接下来，在刚刚建立的OU上点击右键，从菜单中选择“在此域中建立GPO并连接于此”命令。在弹出的对话框中，为你的GPO起一个有意义的名字，好比：GPO_market，在此处就能够选择你系统上已经存在的或是导入的STARTER GPO，咱们此时不选，单首创建一个用于market这个OU的GPO。如图5、图六。

 

 

图五

                                                                        图六

建立了GPO后，咱们发如今OU节点下有一个到该对象的连接，而真正的GPO是在“组策略对象”节点下的。（如图七）

图七

     好，相信你们都看懂了如何利用组策略管理控制台工具为一个容器建立并连接一个GPO。那么，接下来咱们要去配置这个GPO并验证效果，以便你们对于组策略对象的配置和应用有一个感性的认识。首先，让咱们打开管理工具中的“AD的用户和计算机”管理控制台，在新建的market中建立一个叫'Eric’的用户，等一下咱们要用这个用户验证组策略的配置。（如图八）

图八

    下面，咱们返回到“组策略管理控制台”，导航到刚刚建立并已经连接到market OU上的GPO上点击右键，在弹出菜单上选择“编辑”命令，打开“组策略编辑器”。（如图9、图十）

图九

 

                                                                                                                                    图十

      在组策略编辑器中，有两个节点——计算机配置和用户配置。不管你在编辑的是哪个GPO，都有且只有这两个节点。这两个节点中的配置项分别针对域中的计算机和用户生效。鉴于本文的目标是向你们介绍“组策略管理控制台”的使用和组策略的初步入门，因此笔者将利用组策略编辑器编辑一条有关用户配置的组策略，而后去验证它是否生效。展开“用户配置”节点下的子节点“策略”，并导航到“Windows设置——Internet Explorer维护——浏览器用户界面”，并双击位于右边的“浏览器标题”项目，对它进行设置。这个配置在企业中比较常见，如今的企业都比较讲究对外对内的形象，统一用户界面是经常使用的一种方法。编辑好选项后，点击“肯定”退出编辑。（如图11、十二）

图十

图十一

      接着，咱们打开cmd窗口，键入如图命令来强制策略的更新，以即可以马上验证。（如图十二）

      策略配置好之后，咱们启动一台win7客户端来验证。首先要保证win7客户端已经加入域，其次要用咱们刚刚建立的Eric帐号登陆。（如图十三）

图十三

      登陆后，咱们打开IE浏览器，将看到在IE的标题栏中显示出了在策略中设置的字符串，说明策略对Eric生效了。（如图十四）

图十四

    为了确认，咱们再用administrator登陆， 比较一下两者的差异。（如图十5、十六）

                               图十五                                                                                              图十六

      好，至此咱们认识了“组策略管理控制台”，而且使用它建立了OU，连接了GPO，配置了一条组策略，并验证告终果。相信你们对这个工具已经有了初步认识。文中有任何错误和不当之处，欢迎你们指正。